安全事件周報 (01.11-01.17)

報告編號：B6-2021-011801

報告來源：360CERT

報告作者：360CERT

更新日期：2021-01-18

0x01事件導覽

本周收錄安全事件37項，話題集中在惡意程序、漏洞修複方面，涉及的組織有：聯合國、西門子、Microsoft、Adobe等。蠕蟲病毒突襲，員工安全意識建設不可或缺。對此，360CERT建議使用360安全衛士進行病毒檢測、使用360安全分析響應平臺進行威脅流量檢測，使用360城市級網絡安全監測服務QUAKE進行資產測繪，做好資產自查以及預防工作，以免遭受黑客攻擊。

惡意程序等級Sunburst後門與俄羅斯APT惡意軟體共享功能★★★★★在SolarWinds供應鏈攻擊中發現的第三種惡意軟體★★★★★Incaseformat 蠕蟲病毒威脅★★★★★用來攻擊Qui Cellmate用戶的惡意軟體原始碼被洩露★★★★地下論壇出售的惡意軟體稱可以完全控制Android手機★★★★Facebook起訴惡意Chrome擴展的製造商惡意竊取數據★★★★利用Telegram機器人的新型詐騙★★★★Windows Finger命令被網絡釣魚濫用以下載惡意軟體★★★★勒索軟體攻擊了蘇格蘭環境保護局★★★★數據安全
聯合國洩露了超過10萬個環境規劃署的工作人員記錄★★★★★數據管理公司洩漏了數百萬個人資料★★★★★Capcom：39萬人可能受到勒索軟體數據洩露的影響★★★★★暗網Juspay洩漏3500萬客戶卡數據★★★★★紐西蘭儲備銀行的數據被黑客竊取★★★★Ubiquiti公司披露數據洩露★★★★黑客洩露了被盜的輝瑞COVID-19疫苗數據★★★★網絡攻擊
水坑行動利用了0day漏洞★★★★★Spalax：針對哥倫比亞實體的持續惡意軟體活動★★★★★Mimecast表示，黑客濫用其證書來訪問Microsoft帳戶★★★★網絡釣魚中常見的假冒品牌★★★★基於電報的網絡釣魚服務Classiscam登陸歐洲市場★★★★其它事件
全球最大的暗網非法市場被關閉★★★★★安全公司Bitdefender發布了Darkside勒索軟體的免費解密器★★★★Typeform修復了Zendesk Sell應用的數據劫持漏洞★★★★微軟2021年1月補丁日修復了83個漏洞，包括1個0day漏洞★★★★Adobe在安全更新中修復了7個嚴重漏洞★★★★在CMX軟體中發現了嚴重的Cisco漏洞★★★★認證的推特帳戶在「Elon Musk」加密騙局中被黑，涉案金額達58萬美元★★★★未公開的Apache Velocity XSS漏洞影響政府網站★★★★西門子修複數字工業軟體產品中的多個漏洞★★★★最大的販卡市場Joker's Stash宣布關閉★★★★Orbit Fox WordPress插件中的漏洞允許攻擊者接管站點★★★★未經授權的RAC員工非法入侵計算機系統並將數據出售★★★俄羅斯黑客因黑客攻擊被判刑十二年★★★Microsoft Sysmon現在可以檢測惡意軟體進程篡改的操作★★★新的克隆技術以繞過以Google的2FA密鑰★★★研究人員在F5 BIG-IP系統中發現了一個DoS漏洞★★★0x02惡意程序Sunburst後門與俄羅斯APT惡意軟體共享功能

日期: 2021年01月11日
等級: 高
作者: Sergiu Gatlan
標籤: Kaspersky, Sunburst, SolarWinds, Kazuar, Russian

卡巴斯基研究人員發現，Sunburst後門程序（在SolarWinds供應鏈攻擊期間部署的惡意軟體）顯示出與Kazuar的功能重疊，Kazuar是暫時與俄羅斯Turla黑客組織聯繫在一起的.NET後門程序。Turla（又名VENOMOUSBEAR和Waterbug）早在1996年就一直在協調信息盜竊和間諜活動，並且是針對五角大樓和NASA、美國中央司令部和芬蘭外交部的襲擊的主要嫌疑犯。Kazuar是Turla過去的運營中使用的工具之一，據卡巴斯基稱，Kazuar與SolarWinds黑客背後的組織（UNC2452和DarkHalo）創建的惡意軟體共享一些功能。

詳情

Sunburst backdoor shares features with Russian APT malware

https://www.bleepingcomputer.com/news/security/sunburst-backdoor-shares-features-with-russian-apt-malware/

在SolarWinds供應鏈攻擊中發現的第三種惡意軟體

日期: 2021年01月12日
等級: 高
作者: Catalin Cimpanu
標籤: CrowdStrike, SolarWinds, Malware, Supply Chain Attack, Sunspot

網絡安全公司CrowdStrike是直接調查SolarWinds供應鏈攻擊的公司之一，該公司2021年1月12日表示，它已經發現了與此次黑客攻擊直接相關的第三種惡意軟體。該惡意軟體命名為Sunspot，為先前發現的Sunburst（Solorigate）和Teardrop惡意軟體增色不少。但Crowdstrike表示，該惡意軟體實際上是第一個被使用的惡意軟體。在2021年1月12日發布的一份報告中，Crowdstrike說Sunspot於2019年9月部署，當時黑客首次破壞了SolarWinds的內部網絡。

詳情

Third malware strain discovered in SolarWinds supply chain attack

https://www.zdnet.com/article/third-malware-strain-discovered-in-solarwinds-supply-chain-attack/

Incaseformat 蠕蟲病毒威脅

日期: 2021年01月13日
等級: 高
作者: 360CERT
標籤: Incaseformat, Worm

360檢測到蠕蟲病毒incaseformat大範圍爆發，病毒感染用戶機器後會通過U盤自我複製感染到其他電腦，導致電腦中磁碟文件被刪除，給用戶造成極大損失。用戶電腦中毒後，病毒文件通過DeleteFileA和RemoveDirectory代碼實施了刪除文件和目錄的行為。此病毒啟動後將自身複製到C:WINDOWS say.exe並創建啟動項退出，等待重啟運行，下次開機啟動後約20s就開始刪除用戶文件。360安全衛士已支持對該病毒的查殺用戶可以通過安裝360安全衛士或通過軟體管家下載incaseformat專殺工具。

詳情

Incaseformat 蠕蟲病毒威脅

https://cert.360.cn/warning/detail?id=39a713a8612444993801f654e5ed9ed8

用來攻擊Qui Cellmate用戶的惡意軟體原始碼被洩露

日期: 2021年01月11日
等級: 高
作者: Pierluigi Paganini
標籤: Qiui Cellmate, ChastityLock, Source Code, Malware, Leaked

用來攻擊QiuiCellmate成人玩具用戶的ChastityLock勒索軟體的原始碼現在已經公開。勒索軟體代碼的洩露最早是由用戶@vx-underground在推特上披露的。2020年10月，PenTestPartners的研究人員發布了一份報告，其中提供了有關影響他們的安全漏洞的詳細信息，而QiuiCellmate成為頭條新聞。攻擊者威脅稱，如果受害者不支付贖金，就會無限期鎖定設備。

詳情

Source code for malware that targets Qiui Cellmate device was leaked online

https://securityaffairs.co/wordpress/113251/hacking/qiui-cellmate-ransomware.html

地下論壇出售的惡意軟體稱可以完全控制Android手機

日期: 2021年01月12日
等級: 高
作者: Danny Palmer
標籤: Android, Underground Forums, Remote Administration Tool, Malware

地下論壇上正在出售一種由兩種舊惡意軟體新組成的惡意軟體，讓黑客可以訪問用戶在Android手機上的所有操作，價格低至29.99美元，即使是低級別的網絡犯罪分子也能竊取敏感的個人數據。這種遠程木馬通過鍵盤記錄感染受害者，使攻擊者能夠輕鬆監控網站和應用程式的使用情況，從而竊取用戶名和密碼以及財務數據。惡意軟體的低成本反映了犯罪生態系統的日益複雜，這使得那些技術水平有限的想要成為罪犯的人有可能獲得工具來發動攻擊。

詳情

This Android malware claims to give hackers full control of your smartphone

https://www.zdnet.com/article/this-android-malware-claims-to-give-hackers-full-control-of-your-smartphone/

Facebook起訴惡意Chrome擴展的製造商惡意竊取數據

日期: 2021年01月14日
等級: 高
作者: Sergiu Gatlan
標籤: Facebook, Chrome Web Store, Scraping Data, Malicious Chrome Extensions

Facebook已經針對惡意Chrome擴展程序的製造商採取了法律行動，這些擴展未經授權從Facebook網站和用戶系統中竊取用戶資料和其他信息。兩名被告通過Chrome網上應用店分發了惡意瀏覽器擴展程序，這些擴展程序以OinkandStuff公司為名。所有這四個擴展程序仍可在Google的Chrome網上應用店中下載，並且已有54,000多名用戶安裝了這些擴展程序。

詳情

Facebook sues makers of malicious Chrome extensions for scraping data

https://www.bleepingcomputer.com/news/security/facebook-sues-makers-of-malicious-chrome-extensions-for-scraping-data/

利用Telegram機器人的新型詐騙

日期: 2021年01月14日
等級: 高
作者: Lindsey O'Donnell
標籤: Telegram Bot, European, Scam-as-a-Service, Classiscam

一種新型自動欺詐技術出現，該技術利用Telegram機器人從歐洲受害者那裡竊取錢財和付款數據。該騙局被研究人員稱為Classiscam，目前網絡犯罪分子作為一項服務出售，並已被至少40個獨立的網絡幫派使用。截止2020年，網絡犯罪分子使用該服務的總收入至少為650萬美元。

詳情

Telegram Bots at Heart of Classiscam Scam-as-a-Service

https://threatpost.com/telegram-bots-classiscam-scam/163061/

Windows Finger命令被網絡釣魚濫用以下載惡意軟體

日期: 2021年01月15日
等級: 高
作者: Lawrence Abrams
標籤: Finger Command, Windows, Backdoor, Malware, MineBridge

攻擊者使用通常無害的WindowsFinger命令在受害者的設備上下載並安裝惡意後門。Finger命令是源自Linux/Unix作業系統的實用程序，它允許本地用戶檢索遠程計算機上的用戶列表或有關特定遠程用戶的信息。除Linux外，Windows還包含執行相同功能的finger.exe命令。

詳情

Windows Finger command abused by phishing to download malware

https://www.bleepingcomputer.com/news/security/windows-finger-command-abused-by-phishing-to-download-malware/

勒索軟體攻擊了蘇格蘭環境保護局

日期: 2021年01月15日
等級: 高
作者: Mathew J. Schwartz
標籤: Scottish, Ransomware, Environment Protection Agency, Conti

蘇格蘭環境保護局說，2020年12月的勒索軟體攻擊造成了嚴重的網絡中斷，並且攻擊者還偷走了一些數據。

SEPA是蘇格蘭政府的主要環境監管機構，負責保護國家環境。

這個非部門的公共機構，由大約1,200名員工組成。

該組織表示，他們仍在處理勒索軟體攻擊，該攻擊繼續破壞服務，因為攻擊者要求該組織支付贖金，以換取解鎖其系統密鑰的保證，並承諾停止在線洩露被盜信息。

詳情

Ransomware Disrupts Scottish Environment Protection Agency

https://www.databreachtoday.com/ransomware-disrupts-scottish-environment-protection-agency-a-15768

相關安全建議

1. 在網絡邊界部署安全設備，如防火牆、IDS、郵件網關等

2. 條件允許的情況下，設置主機訪問白名單

3. 如果不慎勒索中招，務必及時隔離受害主機、封禁外鏈ip域名並及時聯繫應急人員處理

4. 各主機安裝EDR產品，及時檢測威脅

5. 及時對系統及各個服務組件進行版本升級和補丁更新

6. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程式，應及時更新到最新版本

7. 注重內部員工安全培訓

0x03數據安全聯合國洩露了超過10萬個環境規劃署的工作人員記錄

日期: 2021年01月11日
等級: 高
作者: Ax Sharma
標籤: UNEP, Data Breach, Vulnerability, Git Repositories

2021年1月11日，研究人員揭露了一個安全漏洞，利用該漏洞可以訪問聯合國環境規劃署(UNEP)超過10萬名私人僱員的信息記錄。

數據洩露源於公開的Git目錄和憑據，這使研究人員可以克隆Git存儲庫並收集與10萬多名員工相關的大量個人身份信息（PII）。

洩漏的數據暴露了聯合國工作人員的旅行歷史，包含：僱員ID，姓名，僱員組，旅行理由，開始和結束日期，批准狀態，目的地和停留時間。

詳情

United Nations data breach exposed over 100k UNEP staff records

https://www.bleepingcomputer.com/news/security/united-nations-data-breach-exposed-over-100k-unep-staff-records/

數據管理公司洩漏了數百萬個人資料

日期: 2021年01月11日
等級: 高
作者: Tara Seals
標籤: SocialArks, Facebook, Instagram, LinkedIn, Safety Detectives, Elasticsearch, Personally Identifiable Information

2.14億社交媒體用戶的超過400GB的公開和私人資料數據已經暴露於網際網路上。據安全偵探（SafetyDetectives）的研究人員稱，此次洩密源於中國社交媒體管理公司SocialArks的一個配置錯誤的ElasticSearch資料庫，該資料庫包含來自Facebook，Instagram，LinkedIn和其他平臺的用戶的個人身份信息。

詳情

Millions of Social Profiles Leaked by Chinese Data-Scrapers

https://threatpost.com/social-profiles-leaked-chinese-data-scrapers/162936/

Capcom：39萬人可能受到勒索軟體數據洩露的影響

日期: 2021年01月12日
等級: 高
作者: Lawrence Abrams
標籤: Capcom, Ragnar Locker, Data Breach, Ransomware, Cyberattack

Capcom發布了一份最新的數據洩露調查報告，並表示去年11月份的勒索軟體攻擊可能會影響多達39萬人。2020年11月2日，Capcom遭到RagnarLocker勒索軟體運營商的網絡攻擊，勒索軟體運營商聲稱他們從公司竊取了1TB數據。勒索軟體運營商要求1100萬美元的比特幣贖金。Capcom表示，他們已經確認有16415人的個人信息被曝光，可能受影響的總人數為39萬人。

詳情

Capcom: 390,000 people may be affected by ransomware data breach

https://www.bleepingcomputer.com/news/security/capcom-390-000-people-may-be-affected-by-ransomware-data-breach/

暗網Juspay洩漏3500萬客戶卡數據

日期: 2021年01月13日
等級: 高
作者: Waqas
標籤: Juspay, Data Sold, Dark Web, Card

Juspay大約五個月前就遭受數據洩露，現在的調查顯示，大約有3500萬Juspay客戶受到了影響。值得注意的是，Juspay屬於Hackread.com在2021年1月2日報告的數據洩露報告的26家公司之一。目前，黑客正在出售3.65億條用戶記錄，其中包括Juspay。被洩露的數據包括公司存儲支付數據的客戶的姓名、銀行名稱和手機號碼。

詳情

Juspay data breach 35 million customers' card data sold on dark web

https://www.hackread.com/juspay-data-breach-card-data-sold-dark-web/

紐西蘭儲備銀行的數據被黑客竊取

日期: 2021年01月11日
等級: 高
作者: Lawrence Abrams
標籤: The Reserve Bank, New Zealand, Data Breach

紐西蘭儲備銀行TePūteaMatua在攻擊者入侵第三方託管合作夥伴後，遭受數據洩露。儲備銀行是紐西蘭的中央銀行，負責制定貨幣政策以穩定該國的物價。2021年1月10日，儲備銀行披露，攻擊者非法訪問了其存儲在第三方主機提供商的數據後，他們的數據遭到了洩露。

詳情

New Zealand Reserve Bank suffers data breach via hacked storage partner

https://www.bleepingcomputer.com/news/security/new-zealand-reserve-bank-suffers-data-breach-via-hacked-storage-partner/

Ubiquiti公司披露數據洩露

日期: 2021年01月11日
等級: 高
作者: Pierluigi Paganini
標籤: American, Ubiquiti Networks, Cloud Provider, Database

美國技術供應商UbiquitiNetworks遭受數據洩露，並正在向其客戶發送通知電子郵件，要求他們更改密碼並為其帳戶啟用2FA策略。該公司發現一些由第三方雲提供商管理的系統在被未經授權地訪問，但沒有跡象表明用戶的帳戶存在未經授權的活動。且還不知道其用戶數據是否被公開，這些數據可能包括姓名，電子郵件地址和帳戶的單向加密密碼。

詳情

Ubiquiti discloses a data breach

https://securityaffairs.co/wordpress/113296/data-breach/ubiquiti-discloses-data-breach.html

黑客洩露了被盜的輝瑞COVID-19疫苗數據

日期: 2021年01月12日
等級: 高
作者: Sergiu Gatlan
標籤: The European Medicines Agency, Pfizer, COVID-19, Leak, Vaccine Data

歐洲藥品管理局(EMA)2021年1月12日透露，2020年12月黑客從輝瑞生物科技公司伺服器竊取的部分COVID-19疫苗數據已經被洩露到了網上。網絡安全情報界的消息人士稱，洩露的數據包括電子郵件屏幕截圖，EMA同行審閱評論，Word文檔，PDF和PowerPoint演示文稿。

詳情

Hackers leak stolen Pfizer COVID-19 vaccine data online

https://www.bleepingcomputer.com/news/security/hackers-leak-stolen-pfizer-covid-19-vaccine-data-online/

相關安全建議

1. 對於託管的雲伺服器(VPS)或者雲資料庫，務必做好防火牆策略以及身份認證等相關設置

2. 強烈建議資料庫等服務放置在外網無法訪問的位置，若必須放在公網，務必實施嚴格的訪問控制措施

3. 及時檢查並刪除外洩敏感數據

4. 若系統設有初始口令，建議使用強口令，並且在登陸後要求修改。

5. 管控內部員工數據使用規範，謹防數據洩露並及時做相關處理

0x04網絡攻擊水坑行動利用了0day漏洞

日期: 2021年01月13日
等級: 高
作者: Akshaya Asokan
標籤: Google, ProjectZero, Zero Day, Windows, Linux

Google的ProjectZero安全團隊發現了2020年的一個複雜的水坑行動，該行動使用了四個0day漏洞來攻擊Windows和Android行動裝置。攻擊已在2020年第一季度發現並停止，但ProjectZero以及Google威脅分析小組直到現在才透露詳細信息，因為分析複雜的操作需要花費數月的時間。據Google報導，攻擊行動背後的攻擊者使用了兩個攻擊伺服器，一個針對Android設備，另一個針對Windows設備，每個都使用了單獨的攻擊鏈。

詳情

Watering Hole Operation Leveraged Zero-Day Exploits

https://www.databreachtoday.com/watering-hole-operation-leveraged-zero-day-exploits-a-15757

Spalax：針對哥倫比亞實體的持續惡意軟體活動

日期: 2021年01月14日
等級: 高
作者: Pierluigi Paganini
標籤: ESET, Operation Spalax, Colombian, Malware

來自ESET的安全專家揭露了一場名為Spalax行動(OperationSpalax)的針對哥倫比亞政府機構和私人公司的攻擊活動。此次攻擊針對政府機構和私人公司，其中大多數在能源和冶金領域。該運動至少自2020年以來一直很活躍，在此次活動中，攻擊者利用遠程木馬監視受害者。

詳情

Operation Spalax, an ongoing malware campaign targeting Colombian entities

https://securityaffairs.co/wordpress/113429/hacking/operation-spalax-malware.html

Mimecast表示，黑客濫用其證書來訪問Microsoft帳戶

日期: 2021年01月12日
等級: 高
作者: Catalin Cimpanu
標籤: Mimecast, Microsoft 365, Cloud, Email Management

Mimecast是一家生產雲電子郵件管理軟體的公司，該公司2021年1月12日披露了一起安全事件，提醒客戶一個攻擊者獲得了該公司的一個數字證書，並利用證書成功進入了一些客戶的Microsoft365帳戶。這家總部位於倫敦的電子郵件軟體公司表示，該公司的幾款產品都使用這一證書連接到Microsoft的基礎設施。Mimecast表示，大約有10％的客戶使用帶有此特定證書的受影響產品。但是，攻擊者僅能訪問這些客戶的少數Microsoft365帳戶。

詳情

Mimecast says hackers abused one of its certificates to access Microsoft accounts

https://www.zdnet.com/article/mimecast-says-hackers-abused-one-of-its-certificates-to-access-microsoft-accounts/

網絡釣魚中常見的假冒品牌

日期: 2021年01月14日
等級: 高
作者: Danny Palmer
標籤: Microsoft, Phishing, Mimicking Brands, Office 365

CheckPoint的網絡安全研究人員分析了過去三個月內發送的網絡釣魚郵件，發現43%的仿冒品牌的網絡釣魚攻擊都試圖把自己偽裝成來自微軟的信息。由於Office365在企業中的分布廣泛，Microsoft受到了歡迎。通過竊取這些憑據，網絡攻擊者試圖獲得對公司網絡的訪問權限。

詳情

Phishing warning: These are the brands most likely to be impersonated by crooks, so stay alert

https://www.zdnet.com/article/phishing-warning-these-are-the-brands-most-likely-to-be-impersonated-by-crooks-so-stay-alert/

基於電報的網絡釣魚服務Classiscam登陸歐洲市場

日期: 2021年01月14日
等級: 高
作者: Ionut Ilascu
標籤: Scam-as-a-service, Classiscam

至少有40個網絡犯罪團夥正在使用一種即騙即用（scam-as-a-service）服務，這種服務依賴於Telegram機器人提供模仿流行分類廣告、市場和送貨服務的頁面。2019年夏天，IB集團（groupib）的安全研究人員通過該公司在阿姆斯特丹的數字風險保護中首次發現了這一騙局，並將其命名為Classiscam，並發現它在不到一年的時間內從280個詐騙頁面增長到大約3000個。自發現以來，該計劃擴大到後蘇聯和歐洲國家，如保加利亞，法國，捷克共和國，波蘭和羅馬尼亞。至少有40個組織在實施詐騙，其中最高盈利每月超過50萬美元。

詳情

Telegram-based phishing service Classiscam hits European marketplaces

https://www.bleepingcomputer.com/news/security/telegram-based-phishing-service-classiscam-hits-european-marketplaces/

相關安全建議

1. 及時對系統及各個服務組件進行版本升級和補丁更新

2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程式，應及時更新到最新版本

3. 積極開展外網滲透測試工作，提前發現系統問題

4. 注重內部員工安全培訓

5. 如果允許，暫時關閉攻擊影響的相關業務，積極對相關系統進行安全維護和更新，將損失降到最小

0x05其它事件全球最大的暗網非法市場被關閉

日期: 2021年01月12日
等級: 高
作者: Asha Barbaschow
標籤: Europol, DarkMarket, Dark Web, Monero

一項國際執法行動關閉了暗網上全球最大的非法市場。在德國，澳大利亞，丹麥，摩爾多瓦，烏克蘭，英國，美國國家犯罪局和美國（包括聯邦調查局）的當局共同努力下，擁有近50萬用戶的DarkMarket被關閉。歐洲刑警組織在一份聲明中說，市場上有2400多個賣家，主要交易毒品並出售偽造的錢，被盜或偽造的信用卡詳細信息，匿名SIM卡以及惡意軟體。一名澳大利亞公民在德國奧爾登堡市被中央刑事調查局逮捕。據稱，這名34歲的澳大利亞男子是黑暗市場的經營者。

詳情

Australian man arrested for alleged operation of now-shuttered DarkMarket

https://www.zdnet.com/article/australian-man-arrested-for-alleged-operation-of-now-shuttered-darkmarket/

安全公司Bitdefender發布了Darkside勒索軟體的免費解密器

日期: 2021年01月11日
等級: 高
作者: Catalin Cimpanu
標籤: Bitdefender, Darkside, Ransomware, Free Decrypter, Tool

網絡安全公司Bitdefender2021年1月11日發布了一個免費工具，可以幫助Darkside勒索軟體的受害者免費恢復加密文件，而無需支付贖金。該工具可從Bitdefender網站下載，並附有使用說明，這給那些重要文件被勒索軟體鎖定和勒索的公司帶來了希望。Darkside組織自2020年夏季開始活躍，至今仍通過網絡犯罪論壇上發布的廣告開展攻擊活動。

詳情

Free decrypter released for victims of Darkside ransomware

https://www.zdnet.com/article/free-decrypter-released-for-victims-of-darkside-ransomware/

Typeform修復了Zendesk Sell應用的數據劫持漏洞

日期: 2021年01月11日
等級: 高
作者: Ax Sharma
標籤: Typeform, Zendesk Sell, Vulnerability, Data Hijacking

在線調查和表單構建軟體及服務Typeform已修復了一個信息劫持漏洞。Typeform的ZendeskSell應用程式集成中存在的漏洞，可使攻擊者將包含敏感數據的表單提交重定向到攻擊者身上。在線調查和表單創建工具Typeform允許用戶創建網頁，以便輕鬆地從用戶收集數據。

詳情

Typeform fixes Zendesk Sell form data hijacking vulnerability

https://www.bleepingcomputer.com/news/security/typeform-fixes-zendesk-sell-form-data-hijacking-vulnerability/

微軟2021年1月補丁日修復了83個漏洞，包括1個0day漏洞

日期: 2021年01月12日
等級: 高
作者: Lawrence Abrams
標籤: Microsoft, Windows, Security Update, Microsoft Defender

2021年1月12日是Microsoft的2021年1月補丁日，它是2021年的第一個Microsoft安全更新版本。隨著2021年1月補丁日的安全更新發布，Microsoft已發布了針對83個漏洞的修復程序，其中10個漏洞被分類為嚴重，而73個漏洞分類為重要。在本次更新中，還有一個0day漏洞和一個之前披露的漏洞得到了修復。

詳情

Microsoft January 2021 Patch Tuesday fixes 83 flaws, 1 zero-day

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2021-patch-tuesday-fixes-83-flaws-1-zero-day/

Adobe在安全更新中修復了7個嚴重漏洞

日期: 2021年01月12日
等級: 高
作者: Lindsey O'Donnell
標籤: Windows, macOS, Linux, Adobe Systems, Vulnerability, Security Updates

AdobeSystems修復了七個嚴重漏洞，這些漏洞影響Windows，macOS和Linux用戶。嚴重漏洞的影響有任意代碼執行和敏感信息洩露等。微軟定期進行安全更新，這將影響到一系列多媒體和創意軟體產品，包括Photoshop、Illustrator和AdobeBridge。

詳情

Adobe Fixes 7 Critical Flaws, Blocks Flash Player Content

https://threatpost.com/adobe-critical-flaws-flash-player/162958/

在CMX軟體中發現了嚴重的Cisco漏洞

日期: 2021年01月13日
等級: 高
作者: Lindsey O'Donnell
標籤: Cisco, CMX, Wifi, Vulnerability, CVEs

Cisco針對零售商的智能Wi-Fi解決方案中存在一個嚴重性很高的漏洞，該漏洞可能使遠程攻擊者能夠更改受影響系統上任何帳戶用戶的密碼。該漏洞是Cisco在2021年1月13日針對67個高嚴重CVE發出的一系列補丁的一部分。其中包括在CiscoAnyConnect安全移動客戶端以及CiscoRV110W，RV130，RV130W和RV215W小型企業路由器中發現的漏洞。

詳情

High-Severity Cisco Flaw Found in CMX Software For Retailers

https://threatpost.com/cisco-flaw-cmx-software-retailers/163027/

認證的推特帳戶在「Elon Musk」加密騙局中被黑，涉案金額達58萬美元

日期: 2021年01月14日
等級: 高
作者: Lawrence Abrams
標籤: Twitter, Elon Musk, Crypto Scam, Verified Account

在最近活躍的ElonMusk加密貨幣騙局中，攻擊者正在入侵經過認證的Twitter帳戶。在過去的一周裡，安全研究機構MalwareHunterTeam發現，在一起推廣另一種假冒ElonMusk加密貨幣的騙局中，被黑的Twitter認證帳戶數量有所上升。這些惡意連結指出，如果您將比特幣發送到指定的地址，它們將給您寄回兩倍的金額。

詳情

Verified Twitter accounts hacked in $580k 『Elon Musk』 crypto scam

https://www.bleepingcomputer.com/news/security/verified-twitter-accounts-hacked-in-580k-elon-musk-crypto-scam/

未公開的Apache Velocity XSS漏洞影響政府網站

日期: 2021年01月15日
等級: 高
作者: Ax Sharma
標籤: Apache Velocity, NASA, GOV, XSS, Vulnerability

未經身份驗證的攻擊者可以利用ApacheVelocityTools中未公開的跨站點腳本（XSS）漏洞來針對政府站點，包括NASA。ApacheVelocity是基於Java的模板引擎，開發人員可使用其在Model-View-Controller（MVC）架構中設計視圖。ApacheVelocityTools有一個未公開的XSS漏洞，幾個月前已在GitHub上發布了修復程序，但該漏洞會影響其所有版本，該漏洞編號為CVE-2020-13959。

目前Apache Velocity在全球均有分布，具體分布如下圖，數據來自於360 QUAKE

詳情

Undisclosed Apache Velocity XSS vulnerability impacts GOV sites

https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/

西門子修複數字工業軟體產品中的多個漏洞

日期: 2021年01月16日
等級: 高
作者: Pierluigi Paganini
標籤: Siemens, Siemens Digital Industries Software, JT2Go, Teamcenter, Solid Edge

西門子已解決了影響西門子數字工業軟體公司（SiemensDigitalIndustriesSoftware）部分產品的多個漏洞。已解決的漏洞包括類型混淆，對XML外部實體的不恰當引用，越界寫，基於堆的緩衝區溢出，基於堆棧的緩衝區溢出，不受信任的指針解除引用和越界讀取。

下列產品受到西門子解決的漏洞的影響：

-JT2Go：v13.1.0之前的所有版本

-JT2Go：版本13.1.0。僅受CVE-2020-26989，CVE-2020-26990，CVE-2020-26991的影響

-TeamcenterVisualization：V13.1.0之前的所有版本

-TeamcenterVisualization：版本13.1.0僅受CVE-2020-26989，CVE-2020-26990，CVE-2020-26991的影響

西門子還在其SolidEdge解決方案中解決了六個漏洞，該漏洞為3D設計，仿真和製造提供了軟體工具。這些漏洞可能導致任意代碼執行和信息洩露。

詳情

Siemens fixed tens of flaws in Siemens Digital Industries Software products

https://securityaffairs.co/wordpress/113511/ics-scada/siemens-digital-industries-software-flaws.html

最大的販卡市場Joker's Stash宣布關閉

日期: 2021年01月16日
等級: 高
作者: Pierluigi Paganini
標籤: Joker’s Stash, COVID-19, Carding Site

最大的在線販卡市場Joker'sStash宣布其業務將於2021年2月15日關閉，管理員通過各種網絡犯罪論壇上發布的消息宣布了這一決定。Joker'sStash是最早的卡片售賣網站之一，它於2014年10月推出，由於其卡片的新鮮度和有效性，在地下網絡犯罪中非常流行。JokerStash稱，他們的員工因新冠病毒感染而住院，大量的成員減少也降低了他們獲取新卡數據的能力。卡店關閉的消息是對地下市場的重大打擊。

詳情

Joker’s Stash, the largest carding site, is shutting down

https://securityaffairs.co/wordpress/113493/cyber-crime/jokers-stash-shut-down.html

Orbit Fox WordPress插件中的漏洞允許攻擊者接管站點

日期: 2021年01月17日
等級: 高
作者: Pierluigi Paganini
標籤: WordPress Plugin, Vulnerability, Orbit Fox, XSS, Privilege Escalation

Wordfence的安全專家在OrbitFoxWordPress插件中發現了兩個安全漏洞。

這些漏洞是權限升級漏洞和存儲的XSS漏洞，漏洞已經影響了40,000多次安裝。

OrbitFox插件允許站點管理員添加註冊表格和窗口小部件等功能，目前已有40萬多個站點安裝了該插件。

攻擊者可以利用漏洞的將惡意代碼注入網站並接管它們。

詳情

Critical flaws in Orbit Fox WordPress plugin allows site takeover

https://securityaffairs.co/wordpress/113394/hacking/wordpress-orbit-fox-flaws.html

未經授權的RAC員工非法入侵計算機系統並將數據出售

日期: 2021年01月11日
等級: 中
作者: Paul Kunert
標籤: RAC, Unauthorised, Prison, Sell Data

路邊緊急救援公司RAC的一名僱員因未經許可入侵計算機系統，並將客戶的數據賣給了事故索賠管理公司，而被判處8個月監禁。

法庭得知，KimDoyle33歲，家住英格蘭西北部高惠特利村巷，在沒有得到RAC的同意的情況下，她還是生成了道路交通事故的數據列表，包括部分姓名、手機號碼和登記號碼。

詳情

Unauthorised RAC staffer harvested customer details then sold them to accident claims management company

https://www.theregister.com/2021/01/11/rac_staffer_unauthorised_computer_access/

俄羅斯黑客因黑客攻擊被判刑十二年

日期: 2021年01月11日
等級: 中
作者: Pierluigi Paganini
標籤: U.S., Russian, Andrei Tyurin, Prison

2021年1月11日，美國一家法院判處37歲的AndreiTyurin12年監禁，罪名是實施了多起針對金融機構、經紀公司、金融新聞出版商和其他美國公司的國際黑客攻擊活動。2018年9月，這名俄羅斯公民被從喬治亞引渡到美國，此人因在摩根大通和道瓊大規模盜竊客戶數據而受到指控。該名男子應美國當局的要求在喬治亞州被捕，他被控多項共謀罪名，包括電匯欺詐，嚴重的身份盜竊和四項計算機黑客罪。

詳情

Russian hacker Andrei Tyurin sentenced to 12 years in prison

https://securityaffairs.co/wordpress/113279/cyber-crime/russian-hacker-andrei-tyurin-prison.html

Microsoft Sysmon現在可以檢測惡意軟體進程篡改的操作

日期: 2021年01月11日
等級: 中
作者: Lawrence Abrams
標籤: Microsoft, Sysmon13, Process Herpaderping, Process Hollowing, Security Feature

Microsoft已發布了具有新安全性功能的Sysmon13，它有一個新的安全特性，可以使用processherpaderping/processhollowing技術檢測進程是否被篡改。為了逃避安全軟體的檢測，攻擊者將惡意代碼注入到合法的Windows進程中。該策略允許惡意軟體執行，但是在任務管理器中，它顯示為在後臺運行的標準Windows進程。

詳情

Microsoft Sysmon now detects malware process tampering attempts

https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-now-detects-malware-process-tampering-attempts/

新的克隆技術以繞過以Google的2FA密鑰

日期: 2021年01月14日
等級: 中
作者: Sudais Asif
標籤: Titan Key, Google, 2FA, Clone

2021年1月14日，NinjaLab的研究人員發明了一種新方法，通過克隆技術繞過谷歌的Titan密鑰（一種物理2FA密鑰）。該方法要求攻擊者首先知道受害者的密碼，然後在大約10個小時內就能夠訪問密鑰本身。此外，還需要價值12000美元的設備和特殊軟體，以使熟練的手段進行攻擊。

詳情

Cloning Google's Titan Key to bypass 2FA

https://www.hackread.com/cloning-googles-titan-key-to-bypass-2fa/

研究人員在F5 BIG-IP系統中發現了一個DoS漏洞

日期: 2021年01月14日
等級: 中
作者: Pierluigi Paganini
標籤: DoS, CVE-2020-27716, F5 BIG-IP, Vulnerability

一位安全研究員在F5BIG-IP中發現了一個DoS漏洞，該漏洞為CVE-2020-27716，它會影響某些版本的訪問策略管理器（APM）。F5BIG-IP訪問策略管理器是一種安全，靈活，高性能的訪問管理代理解決方案，可為您的用戶，設備，應用程式和應用程式編程接口（API）提供統一的全局訪問控制。該漏洞位於流量管理微內核（TMM）組件中，該組件處理BIG-IP設備上的所有負載平衡的流量。

詳情

Expert discovered a DoS vulnerability in F5 BIG-IP systems

https://securityaffairs.co/wordpress/113440/security/f5-big-ip-dos.html

相關安全建議

1. 及時對系統及各個服務組件進行版本升級和補丁更新

2. 包括瀏覽器、郵件客戶端、vpn、遠程桌面等在內的個人應用程式，應及時更新到最新版本

3. 受到網絡攻擊之後，積極進行攻擊痕跡、遺留文件信息等證據收集

0x06產品側解決方案360城市級網絡安全監測服務

360CERT的安全分析人員利用360安全大腦的QUAKE資產測繪平臺(quake.360.cn)，通過資產測繪技術的方式，對該漏洞進行監測。可聯繫相關產品區域負責人或(quake#360.cn)獲取對應產品。

360安全分析響應平臺

360安全大腦的安全分析響應平臺通過網絡流量檢測、多傳感器數據融合關聯分析手段，對網絡攻擊進行實時檢測和阻斷，請用戶聯繫相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。

360安全衛士

針對以上安全事件，360cert建議廣大用戶使用360安全衛士定期對設備進行安全檢測，以做好資產自查以及防護工作。

0x07時間線

2021-01-18  360CERT發布安全事件周報

0x08特製報告下載連結

一直以來，360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務，現360CERT正式推出安全通告特製版報告，以便用戶做資料留存、傳閱研究與查詢驗證。用戶可直接通過以下連結進行特製報告的下載。

安全事件周報 (01.11-01.17)

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】安全事件周報_01月11日-01月17日.pdf

若有訂閱意向與定製需求請掃描下方二維碼進行信息填寫，或發送郵件至g-cert-report#360.cn ，並附上您的 公司名、姓名、手機號、地區、郵箱地址。

推薦閱讀：

1、INCASEFORMAT蠕蟲病毒網絡傳播風險通告

2、安全運營周刊第二十三期

3、Incaseformat 蠕蟲病毒威脅通告

長按下方二維碼關注360CERT！謝謝你的關注！

註：360CERT官方網站提供 《安全事件周報 (01.11-01.17)》 完整詳情，點擊閱讀原文